适用场景
计划或正在美国市场开展业务,且业务涉及处理美国公民敏感个人数据或政府相关数据的中国出海企业,特别是涉及AI、电商、金融、IT服务、数据经纪等领域的公司。
核心要点
1. 新规核心:一个判断公式
美国《最终规则》建立了一套判断数据交易是否受管制的核心公式。关键在于判断交易是否涉及‘美国实体’向‘受关注实体’提供对‘受规制数据’的‘访问’。只要满足这些条件,且无豁免情形,交易就可能被禁止或限制。这里的‘访问’定义宽泛,包括读取、复制、解密等多种形式。
2. 谁是“受关注实体”?穿透认定风险高
‘受关注实体’不仅包括位于中国(含港澳)等受关注国家的企业,更通过50%股权比例进行穿透认定。这意味着,即使一家公司注册在第三国(如新加坡),若其最终由中资合计控股超过50%,也可能被认定为受关注实体。出海企业常用的海外架构可能无法规避此风险。
3. 两类受管制数据:敏感个人数据与政府相关数据
受管制数据分为两大类:一是达到特定数量阈值的‘敏感个人数据’,包括精确地理位置、生物识别、财务数据等六类;二是无数量门槛的‘政府相关数据’。需注意,匿名化、加密数据仍被计入阈值计算,且政府相关数据管控极严。
4. 交易分两类:禁止交易与限制交易
与受关注实体进行的‘数据经纪’交易和‘批量人类基因组数据’交易被明确禁止。而基于‘供应商协议’、‘雇佣协议’、‘投资协议’的数据访问则属于‘限制交易’,必须满足美国官方发布的安全要求并执行严格的合规计划(如尽职调查、审计、记录留存)。
5. 豁免情形与申请许可
规则设定了部分豁免情形,如公司集团内部为日常运营(如人力资源、客户支持)进行的数据交换、已公开信息、金融服务所必需的数据处理等。对于无法适用豁免但又必须进行的交易,企业可尝试向美国司法部申请‘特别许可’,但程序和要求严格。
实务建议
- 立即开展数据流盘查:梳理企业业务中是否涉及对美国公民敏感个人数据或政府相关数据的收集、处理,并评估数据量是否达到监管阈值。
- 识别并评估交易对手:对现有及潜在美国业务伙伴、供应商、投资对象进行背景调查,利用股权穿透原则判断其是否可能被认定为‘受关注实体’。
- 审查与修订合同:对于可能构成‘限制交易’的供应商协议等,在合同中加入遵守美国数据安全要求的条款,并明确数据访问的范围与目的限制。
- 建立并实施合规计划:若从事限制交易,需按照要求制定年度合规计划,落实安全措施,进行内部审计,并做好至少10年的记录留存。
- 善用豁免条款:评估企业集团内部的数据流动、金融服务等场景是否符合明文豁免条件,并据此规划合规的数据传输路径。
- 考虑申请许可:对于关键且无法豁免的禁止类或限制类交易,提前研究并向专业律师咨询申请‘特别许可’的可能性与流程。
- 寻求专业支持:鉴于规则高度复杂且动态变化,建议聘请在跨境数据合规领域有经验的律师团队,协助进行风险评估、合规整改与许可申请。
风险提示
- 误区:认为将公司注册在第三国(如新加坡)即可规避管制。风险:根据50%股权穿透规则,由中资实质控制的第三国公司仍可能被认定为‘受关注实体’。
- 误区:认为数据经过匿名化或加密即可高枕无忧。风险:规则明确将这些数据计入监管阈值,且认为其有被重新识别的可能。
- 误区:仅关注数据买卖,忽视‘访问’的宽泛定义。风险:通过API接口、云平台、运维服务等方式提供的逻辑访问,同样可能构成受规制的‘数据交易’。
- 注意事项:安全要求与合规计划义务繁重,涉及技术、管理、审计等多层面,企业需投入专门资源,不可流于形式。
- 注意事项:违规后果严重,可能导致交易被叫停、高额罚款,并对企业声誉造成重大损害。